902 88 57 66 prysma@prysma.es

Evaluación del impacto en la privacidad

Las normativa legal que regula la gestión de los datos personales por parte de las empresas y organismos está constituida por La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo a través del Real Decreto 1720/2007 (RLOPD) y en la actualidad se está desarrollando una propuesta de reglamento europeo.

La normativa obliga a la inscripción de los ficheros que manejan datos de carácter personal (en adelante ficheros) en la Agencia Española de Protección de Datos (AEPD) y al cumplimiento de las medidas de seguridad reflejadas en el RLOPD. Sin embargo, en la práctica, en muchas ocasiones las organizaciones se limitan a registrar los ficheros con posterioridad a su creación y comienzan a aplicar las medidas de seguridad correspondientes según lo consideran necesario y habitualmente poco antes de la realización de las auditorías internas.

Este incumplimiento de la normativa causa que en muchas ocasiones los sistemas o servicios que manejan estos ficheros se deban modificar con posterioridad a su implantación para solventar posibles incumplimientos de la normativa, al no haber sido examinado con anterioridad la afección de estos sistemas sobre la privacidad de los datos que se manejan.

Para solventar esta problemática se desarrollaron los métodos de Evaluación de Impacto en la Privacidad (EIP) o Privacy Impact Assessment (PIA) en sus siglas inglesas, mediante la cual se evalúan los riegos que un producto o servicio conlleva sobre la privacidad de los datos personales que maneja. Esta evaluación previa permite la correcta gestión de los riesgos antes de su aparición y la implantación de las medidas que permitan eliminarlos o mitigarlos.

Existen numerosas publicaciones que desarrollan las metodologías para la realización de la EIP, principalmente provenientes del mundo anglosajón y de los países de habla germana, en los que se están desarrollando estándares para su aplicación. Incluso en la Propuesta de la Comisión Europea del Reglamento General de Protección de Datos se indica (en su artículo 33) la obligatoriedad de realizar una EIP para ciertas “operaciones de tratamiento” y el contenido mínimo que debe incluir.

En línea con este incremento en la aplicación de las EIP, la AEPD ha desarrollado el borrador de la “Guía para una Evaluación del Impacto en la Protección de Datos personales (EIPD)” (Borrador Guía EIPD) y abrió una consulta pública sobre la misma para “contar con un conocimiento más exacto de la situación en la que la Guía va a utilizarse y, de esa manera, redactar un documento que realmente resulte útil a quienes decida llevar a cabo una EIPD”.

La Guía trata de ofrecer una herramienta para la realización de la EIP, mediante el desarrollo de las fases necesarias para el análisis de los nuevos productos o servicios que ofrezca una organización antes de su lanzamiento. De esta manera se consigue evitar que se deban llevar a cabo modificaciones cuando el servicio ya esté en marcha, que causaría un incremento en los costes de desarrollo del producto, así como una mala publicidad para la organización y un impacto negativo en el personal responsable del servicio.

Un aspecto fundamental recogido en la Guía es la necesidad de realizar un análisis previo de necesidad de la evaluación, puesto que no todos los proyectos tienen la suficiente amplitud de afección a la privacidad como para justificar la realización de la evaluación ni, aún en el caso de que fuera necesario, todas las evaluaciones tiene que desarrollarse con el mismo grado de realización.

Las fases principales recogidas en la Guía que deben llevarse a cabo para realizar una correcta EIP son:

  1. Fase previa: Análisis de la necesidad de la Evaluación:
    • ¿Es necesario realizar la EIPD? (la Guía incluye una relación indicativa de las situaciones en las que sería aconsejable llevarla a cabo).
    • Si es necesaria, ¿cuál es el grado de realización? (dependerá también del tamaño de la organización, pudiendo ser más o menos formal).
  1. Determinación del equipo de trabajo y términos de referencia:
    • Es conveniente que el equipo de trabajo esté conformado como mínimo por: representante del área de negocio y del producto involucrado, representante del departamento de TIC y delegado de protección de datos (responsable de realizar la EIPD e interlocutor de todos los participantes).
    • Determinación del alcance del EIPD.
    • Determinación de las funciones de los miembros que forman el equipo.
    • Definición del contenido general y apartados del informe de evaluación.
  1. Descripción del proyecto y de los flujos de información (la Guía incluye en su Anexo II un modelo para sistematizar la fase):
    • Principales características del proyecto y objetivos.
    • Participantes.
    • Categoría de los datos.
    • Perfiles de acceso a la información.
    • Tecnología.
    • Flujos e información a terceros.
    • Confirmar la necesidad de los datos a utilizar.
  1. Identificación y evaluación de riesgos:
    • Análisis de la documentación
    • Seguimiento del ciclo de vida de los datos personales.
    • Usos y finalidades de tratamiento de los datos.
    • Tecnología utilizada e identificación de usuarios de la misma.
    • Identificación de riesgos (la Guía incluye un listado orientativo de riegos habituales o posibles), considerando dos categorías principales, los que afectan a las personas y los que afronta la organización.
  1. Consulta con las partes afectadas (internas y externas):
    • La distribución a los agentes externos no implicados en el proyecto permitirá tener una visión más amplia al mismo tiempo que ofrece una imagen de transparencia al exterior.
    • Si los servicios previstos tratan datos de los empleados, será obligatorio incluir a los representantes de los trabajadores en las consultas internas.
    • Distribución de la evaluación inicial, con una especial precaución de no distribuir información confidencial o personal (a destinatarios no autorizados).
  1. Gestión de riesgos identificados:
    • Una vez identificados los riesgos debe procederse a su gestión (la Guía presenta una listado de opciones a llevar a cabo para la gestión de los riesgos).
    • Si existe un incumplimiento de alguna normativa, se debe eliminar el tratamiento de datos que supone el riesgo.
    • Para los riesgos identificados que no incumplan normativa se debe aplicar las medidas necesarias que mitiguen, transfieran o acepten el riesgo.
  1. Análisis de cumplimiento de normativa:
    • La Guía presenta como anexo una serie de cuestiones que permitirían verificar el cumplimiento de la LOPD y del RLOPD.
    • También puede emplearse la herramienta EVALÚA de la sede electrónica de la AEPD.
  1. Informe final:
    • El equipo responsable de la EIPD deberá emitir el informe final que recoja, de la manera más sencilla y concisa posible los aspectos principales del proyecto y de la evaluación realizada.
    • La Guía presenta en su Anexo III, un modelo de informe final de la EIPD.
  1. Implantación de recomendaciones:
    • Remisión del informe final a las Dirección.
    • Establecimiento de decisiones necesarias por parte de Dirección para la implantación de las medidas recomendadas.
    • Nombramiento de responsable de la implantación.
  1. Revisión de resultados y retroalimentación:
    • Examen del proyecto una vez que el servicio está operativo.
    • Auditorías internas periódicas que realimenten la EIPD.
    • Modificación del proyecto si es necesario.

La Evaluación de Impacto en la Protección de Datos trata de ser una herramienta que permita a las organizaciones facilitar la implantación de las medidas necesarias para asegurar el cumplimiento de la normativa legal de protección de datos de manera previa a la puesta en marcha de los servicios.

Al mismo tiempo favorecerá la divulgación de los contenidos de la normativa y por lo tanto el cumplimiento de la misma, convirtiéndola en una aspecto más inherente de la actividad diaria de la organización.

Evaristo Portillo Aguilar, PRYSMA

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *